写点什么

授予对 Amazon Redshift 管理控制台的细粒度访问权限(一)

  • 2019-12-26
  • 本文字数:1605 字

    阅读完需:约 5 分钟

授予对 Amazon Redshift 管理控制台的细粒度访问权限(一)

Amazon Redshift 访问控制概述

自 2013 年 2 月发布的版本开始,Amazon Redshift 已快速成为备受全球数千家客户青睐的云数据仓库平台。


访问 Amazon Redshift 需要凭证,AWS 可根据此凭证对您的请求进行身份验证。这些凭证必须有权访问 Amazon Redshift 资源,例如 Amazon Redshift 集群或快照。有关这些凭证的更多详细信息,请参阅 Amazon Redshift 文档的 Amazon Redshift 中的 Identity and Access Management 部分。


所有 AWS 资源均归 AWS 账户所有,创建或访问资源的权限受 AWS Identity and Access Management (IAM) 策略控制。AWS 账户管理员可将权限策略附加到 IAM 身份(用户、组和角色)。特别是,AWS 账户管理员还可将 IAM 权限策略附加到特定用户。此类策略可为用户授予管理 Amazon Redshift 资源(例如快照或事件订阅)的权限。


授予权限时,您可以决定可获得权限的用户及其可获得哪些 Amazon Redshift 资源的权限。您还可以决定允许对这些资源执行的具体操作。附加到 IAM 身份的策略称为_基于身份_的 IAM 策略,附加到资源的策略称为_基于资源_的策略。Amazon Redshift 仅支持基于身份的 IAM 策略。

使用案例:为用户设置有限的访问权限

请考虑下面的使用案例。假设有一位 IAM 用户是客户运营组的成员,该用户需要监控和终止在 Amazon Redshift 集群中运行的查询。最佳方式是通过 Amazon Redshift 控制台实现此目的。此用户无权修改或删除任何其他 Amazon Redshift 资源。


为实施此使用案例,我们需要实施一项自定义 IAM 策略,用于确保此 IAM 用户拥有对 Amazon Redshift 控制台的只读权限。此操作意味着该用户可以获得可用集群的描述,并可导航到查询选项卡。此外,我们希望此 IAM 用户能够通过 Amazon Redshift 控制台取消正在运行的查询。为实现此目的,我们使用 redshift:CancelQuerySession IAM 操作。有关 IAM 策略允许的其他 Amazon Redshift 操作的描述以及每项操作的意义,请参阅 Amazon Redshift 文档中的 Amazon Redshift 定义的操作


要创建此类自定义 IAM 策略,请按照以下说明进行操作:


  1. 访问 https://console.aws.amazon.com/iam/ 登录 AWS 管理控制台,并打开 IAM 控制台。

  2. 在左侧的导航窗格中,选择策略

  3. 选择创建策略

  4. 选择 JSON 选项卡并输入以下策略:


Json


{    "Version": "2012-10-17",    "Statement": [        {            "Action": [                "redshift:Describe*",                "redshift:CancelQuerySession",                "redshift:ViewQueriesInConsole",                "ec2:DescribeAccountAttributes",                "ec2:DescribeAddresses",                "ec2:DescribeAvailabilityZones",                "ec2:DescribeSecurityGroups",                "ec2:DescribeSubnets",                "ec2:DescribeVpcs",                "ec2:DescribeInternetGateways",                "sns:Get*",                "sns:List*",                "cloudwatch:Describe*",                "cloudwatch:List*",                "cloudwatch:Get*"            ],            "Effect": "Allow",            "Resource": "*"        }    ]}
复制代码



  1. 查看策略页面,为您要创建的策略输入名称值,并可选择输入描述。查看策略摘要以查看您的策略授予的权限。然后选择创建策略以保存您的工作。

  2. 将此策略附加到现有或新的 IAM 用户。


借助此权限策略,IAM 用户可以选择 Amazon Redshift 集群,在查询选项卡中列出所有运行的查询,并根据需要终止查询。所有权限都是只读权限。因此,用户无法新建 Amazon Redshift 集群,或者修改或删除现有集群。但是,用户可以查看可用集群、集群快照、参数组和集群子网组,还可查看现有集群的其他属性。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/granting-fine-grained-access-to-the-amazon-redshift-management-console/


2019-12-26 13:37936

评论

发布
暂无评论
发现更多内容

Log4j2同步打印日志导致线程阻塞问题剖析

快看工程技术中心

Java 线程 log4j java反射 异常处理

阿里P8连肝三月,终于整理出的完美Java面试宝典,上传到Git上目前star数达到30K+

Java 架构 面试 程序人生 编程语言

java 虚拟机 GC :G1学习笔记

风翱

GC 9月日更

面对低碳转型 央行的两条思路和五大措施

CECBC

高扩展的系统通常会有什么特性

卢卡多多

系统、 9月日更

靠着狂刷这份面试题跟答案!我从 15K 变成了 30K!

Java 编程 程序员

浅谈加密基础设施

I

基础设施 信息安全 加密 密码学 加密基础设施

课程升级 | 极速构建知识体系,即学即用 Serverless

阿里巴巴云原生

阿里云 Serverless 云原生 活动 课程

自研ISP芯片背后:手机厂商的目光在影像之外

脑极体

Prometheus 2.29.0 新特性

耳东@Erdong

release Prometheus 9月日更

我仅用了3个月就成功破茧成蝶!从简历被拒到收割8个大厂offer的辛酸历程!

编程 Java、 计算机

以技术驱动云上创新增长,阿里云计算峰会上海完美收官

互联网 存储 云服务 科技 计算

网络攻防学习笔记 Day149

穿过生命散发芬芳

9月日更 网络管理

音视频同步!RTCP 协议解析及代码实现

声网

音视频 协议 Wireshark 流媒体

腾讯高工终于把操作系统、TCP/IP、线程与进程、CPU全部讲明白了

Java 架构 面试 操作系统 计算机

@InjectMocks 使用

且听且吟

Alibaba内部最新Java架构核心宝典 (全彩版小册开源)

Java 架构 面试 程序人生 编程语言

多媒体技术之图像频率的概念

轻口味

android 音视频 9月日更

突发猛进!数字人民币落地推广会召开

CECBC

JavaScript 的 undefined和null 的区别与判断

wudaxue

内卷把同事逼成了“扫地僧”,把 Github 上所有面试题都整理了一遍~足足 24W 字!

Java 程序员 面试

阿里耗时三月整理的亿级流量百万并发手册,在上传在GitHub上意外获星90K+

Java 架构 面试 程序人生 编程语言

使用 Chrome 调试 Vue3 的 TypeScript 源码

编程三昧

源码 Vue Vue 3 9月日更

内部群炸了!字节同事写了一篇Leetc刷题心得,高管看见之后,直接给他涨了20K

算法 算法题

字节内部不传之秘:1298页算法刷题笔记(附源码可直接运行)

Java 程序员 面试

如何加速云原生数据应用?这个开源项目备受关注

阿里巴巴云原生

阿里云 开源 云原生 Fluid

GitHub上120K Stars国内第一的Java多线程PDF到底有什么魅力?

Java 编程 架构 面试 程序人生

2022前端react高频面试题汇总

buchila11

React

推荐一款 Python 微服务框架 - Nameko

星安果

Python 微服务 Nameko

剖析反序列化原理基本操作

网络安全学海

黑客 网络安全 信息安全 渗透测试 漏洞分析

阿里大佬熬了三月,总结出了这套分布式架构手册,在Github上疯传!

Java 架构 面试 程序人生 编程语言

授予对 Amazon Redshift 管理控制台的细粒度访问权限(一)_文化 & 方法_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章